2006.03.17

マスタリングIPsec


書評:マスタリングIPsec・馬場 達也・O’REILLY

マスタリングIPsec・馬場 達也・O'REILLY家で寝かせてあったIPsecの本をやっとこさ読みました。なんとあまりにも前に買っていて2001年10月初版第1版でした。ちなみにこちらにサポートサイトがあり、現在は第4版まで出ています。インターネットの秘匿性のなさを根本的に解決するプロトコルとして、ネットワークについて勉強したり関心のある人はご存じでしょうし、この書籍はIPsecに関して外せないものだと思います。やっと、実装が追いついてきた感がありコンピューター技術書としては息の長いものとなっています。IPsecの基礎と暗号化などの詳細と実装についてバランスよく書かれていますが、TCP/IPの基礎知識は前提の上で書かれていますので入門向きではありません。

そもそも関心があったにも関わらず読んでなかったわけです。読む必要性を感じたのは会社で貸し会議室をやっていてネット接続を有料で提供していますが、その中でお客がIPsecのアプライアンスソフトを導入されたPCを使って自社サーバーにパススルーで接続した場合に、ローカルで2台目の接続を試みた時に先に接続されている方が切断されるとの事でクレームが付きました。YAMAHAのRTX1000を使っていたのですが、お客に古いルーターっていわれてちょっとムカつくも仕様としてIPsecパススルーは1本しか通らないとの事でした。PPTPのパススルーが複数通るのでIPsecもそうかなっと勝手に解釈していました。ただこの段階では私は仕様の問題として複数のパススルーが無理なのか、機械(ルーター)の能力の問題なのかわかりませんでした。また別棟の貸し会議室でBフレッツ・ファミリーからレンタル用のネットワークを構築するのですが、近々それが可能な機械が出るのなら買い換える事も視野に置いて機器の選定が必要になります。

でもこういう肝心な事って誰に聞いても知らないんよね。少なくとも私の周りには居なかった。結局のところIPsecはローカルアドレスのヘッダも暗号化してしまうので一つのグローバルアドレスでは複数台のパススルーは不可能なんです。可能な場合は

  • ルーターがDHCPでグローバルアドレスを配布する
  • ルーターが複数のグローバルアドレスをもち静的NATをする

くらいでしょう。そもそも「ルーターがDHCPでグローバルアドレスを配布する」がパススルーなんか?という疑問さえあります。クライアントにローカルアドレスを配布する場合にプロバイダからルーターに配布されるグローバルアドレスが一つの場合は1台しかパススルーできません。ローカルアドレスをもし解析して発信したクライアントに返してやる事が可能ならば、それ自体がIPsecの暗号を解読している事になり中身のパケットも解読可能という事になります。でもそれって意味ないわけですからあり得ないわけです。1台なら暗黙の了解で返すので可能みたいです。そもそもIPv6で標準化され、IPsecの実装だけが先に急がれてNATやIPマスカレードの必要性がないIPv6の世界からIPv4の世界に強引に押し込んだことと、Win2000に標準装備されたために身近で使えるためこうなってしまったように感じます。

正直内容はかなり難しく理解するというほどには至っていませんが、IPsecのプロトコルやアルゴリズムを全て知らないと使えないわけではないので必要性を感じたり、ネットワーク管理者として必要なら読んでみた方がいいと思います。エンジンの仕組みを知らなくても車は運転できますし…。読んでいれば全体の概念やトラブルの際に何かしら糸口になってくると思います。私もRTX1000の設置の仕事があって、設置したけどIPsecが確立しなくてTelnetからコンフィグみて直した事もありますけど、それって普通どれくらいの料金取るんだろう? 設置とIPsecのトラブルシューティングって技術者をアサインした時は雲泥の差の費用になるともうけど…。

で、結果的にはこれを読んで現状の問題に対する答えは理解できたわけですが、ファイアウォールとネットワークセキュリティ入門―侵入検知とVPN:トムソンセキュリティシリーズという本のp.213にIPsecの制限事項としてエンドツーエンドでするための手段じゃないと書いてあった(笑) つまりIPsecはゲートウェイ(ルーター)同士で確立するのが一般的だという事です。マスタリングIPsecの12.2辺りでNATの適応に関して述べていて、適応できないという記述もありますが、基本的には困難を乗り越えてどうやるか的に書いてあり、こちらとしては「普通はやらへんで」といってくれる方がありがたい。まぁそこが専門的に掘り下げた本のいいところでもあり、悪いところでもある。ファイアウォールとネットワークセキュリティ入門も近いうちに読んでみたいしいい感じがする。どう見ても入門書じゃないけど(笑)

自分でいうのも何ですが、不動産屋が客に聞かれたからってこんな本読まないよな。

カテゴリー: コンピューター, ネットワーク系, 書評 パーマリンク

Trackback URL

コメントを残す

メールアドレスが公開されることはありません。